Todos nós sabemos que actualmente as plataformas móveis são o principal alvo dos hackers. Além do número elevado de utilizadores que usam dispositivos móveis, há também o factor “ingenuidade”, algo que é muita das vezes aproveitado por quem “sabe mais umas coisas”.
A par das técnicas tradicionais de ataque, há também técnicas mais elaboradas. De acordo com informações recentes, o Android pode ser atacado recorrendo a uma simples imagem/fotografia.
Esconder informação dentro de uma imagem não é propriamente uma técnica nova. No entanto, durante o evento Black Hat Europe 2014 em Amesterdão, Axelle Apvrille, investigadora da Fortinet e Ange Albertini, especialista em Engenharia Reversa, mostraram como é fácil introduzir malware numa imagem/foto e desta forma atacar o sistema móvel da Google.
De acordo com a apresentação feita por Apvrille e Albertini, o ataque é baseado numa técnica inventada por Albertini, que permite basicamente cifrar tudo o queremos no que pretendermos.
Na prática Ange Albertini criou um script em Python, com um conjunto de parâmetros de entrada (ex. chave de codificação, output pretendido), que transformam o output naquilo que pretendemos. O script manipula o INPUT, sem qualquer alteração à informação (ex: se é uma imagem de Anakin Skywalker (Star Wars) continua a ser uma imagem de Anakin Skywalker).
NA demo, Apvrille e Albertini conseguiram esconder um apk malicioso dentro de uma imagem (imagem de Darth Vader). Esse apk tinha a capacidade de “roubar” SMS, fotos, contactos, etc. Apesar do apk ter solicitado autorização para ser instalado, os investigadores mostraram que tal pode ser facilmente ultrapassado usando um método designado de DexClassLoader.
Como podem ver na imagem seguinte, tendo como entrada a imagem de Anakin Skywalker e usando a codificação AES em modo CBC (cipher-block chaining), a técnica conseguiu produzir um output totalmente diferente (foto de Darth Vader). Mas, usado o output e a chave de codificação, é também possível obter a informação de entrada – – Saber mais aqui
Tal ameaça foi testada com sucesso no Android 4.4.2, mas a equipa de segurança da própria Google já está a trabalhar numa solução.